L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es planteja una consulta sobre el dret d’accés d’un pacient al curs clínic.
En aquest cas, la negativa d’un facultatiu sanitari a emetre un informe que, en principi, li correspondria, no pot derivar en un perjudici al malalt. Per aquesta raó, si resulta suficientment justificat, aquest informe es podria emetre per un altre facultatiu, deixant constància del seu contingut a la història clínica i, de la mateixa manera, hauria de constar en termes de traçabilitat d’aquesta.
El pacient, com a titular de les dades personals que consten als seus informes mèdics d’assistència i afectat té dret a accedir a la informació del curs clínic, sempre que no sigui en perjudici del dret de tercers a la confidencialitat de les dades d'aquests que figuren en l'esmentada documentació, ni del dret dels professionals que han intervingut en l'elaboració d'aquesta, que poden invocar la reserva de llurs observacions, apreciacions o anotacions subjectives.
Una vegada informat de la possibilitat d’exercir el dret de limitació, el facultatiu no ès pot negar a que es lliuri el curs clínic al pacient.
Des del punt de vista de la normativa de protecció de dades, l’incompliment del dret d’accés del pacient a la seva documentació clínica, comporta una infracció administrativa per vulneració de la normativa de protecció de dades.
En aquest informe s’analitzen diverses qüestions relatives a l’aplicació de la normativa a l’accés a informació personal de persones que van ser ateses a les institucions referides (cases de maternitat). Això, en atenció als terminis de temps transcorreguts, el tipus d’informació i els drets afectats, tenint en compte la legislació d’arxius. També es recorda que el responsable de l’arxiu, tenint en compte el principi de responsabilitat proactiva, ha de comprovar, ja sigui a partir de documentació aportada pels propis sol·licitants, ja sigui per documentació o per altra informació complementària de què pugui disposar, que queda acreditada la data de la mort o, al menys, que es pot deduir de forma suficient que la informació sol·licitada ja no es refereix a una persona viva. En relació amb l’exercici del dret instrumental de l’article 3.1 LOPDGDD, si la vinculació de parentiu o de fet o la condició d’hereu, que es pugui considerar així en atenció a la normativa aplicable, s’acredita documentalment, aquestes persones haurien de tenir, en principi, accés a la informació.
La normativa de protecció de dades no impedeix l’accés de la persona reclamant a les dades que li són pròpies, així com a la documentació relativa a la valoració dels mèrits i documents justificatius de la resta d’aspirants que van obtenir millor puntuació o posició en els processos selectius, per tractar-se d’informació rellevant per al control del procés i per a la defensa dels seus interessos, sempre que no impliqui l’accés a dades especialment protegides.
Pel que fa a l’accés a les reclamacions o recursos interposats en els processos selectius, la normativa no impedeix facilitar aquells en els quals la persona reclamant fos part interessada. En altre cas, caldria analitzar cas per cas la informació personal que es veu afectada d’acord amb els termes que han estat exposats.
A la vista de la normativa estudiada, i per la informació de què es disposa, des de la perspectiva de la normativa de protecció de dades no sembla que hi hagi suficient base jurídica (art. 6.1 RGPD) que permeti considerar necessària la inclusió generalitzada en els certificats d’empadronament d’informació relativa a l’existència o no del títol d’ocupació d’un habitatge o altra informació relacionada, ni sembla que aquesta pràctica generalitzada s’ajusti als principis de minimització i d’exactitud de dades personals (art. 5.1, apartats c) i d) RGPD). Això, sens perjudici que l’Ajuntament tingui base jurídica suficient per al tractament de la informació objecte de consulta, en els termes que preveu la normativa i als efectes de la verificació a què es refereix l’article 59.2 RPDTEL.
Prenent en consideració la informació aportada, no existeix en el cas examinat habilitació jurídica suficient que justifiqui el tractament de dades personals per a l’execució o exhibició de l’obra d’art, alhora que pot vulnerar el dret a la intimitat d’acord amb el que preveu la Llei Orgànica 1/1982, de 5 de maig, de protecció civil del dret a l'honor, a la intimitat personal i familiar i a la pròpia imatge.
Ara bé, la possibilitat d’enregistrar el so ambient sense que en cap cas es captin, difonguin o enregistrin converses de persones, o veus de persones identificables, no resulta contrària a la normativa de protecció de dades. Per aquest motiu, al fonament de dret VII d’aquest dictamen es proposen algunes mesures que es poden tenir en compte per no dur a terme el tractament de dades personals, i excloure l’aplicabilitat la normativa de protecció de dades.
La normativa de protecció de dades no impediria comunicar la informació sol·licitada sempre que, a la vista de les circumstàncies concretes del cas plantejat, l’Ajuntament pugui determinar l’existència d’un interès legítim en la persona sol·licitant i que no existeixen motius significatius que puguin produir un perjudici al dret a la protecció de dades de la persona afectada.
En els termes exposats, la notificació a la persona col·legiada de la resolució d’arxiu d’una queixa deontològica presentada contra ella es considera lícita i conforme a la normativa de protecció de dades,
L'ajuntament va lliurar a les parts la mateixa informació. No es disposa de cap element que permeti acreditar que hagués facilitat a l'associació informació per vies diferents de les detallades en els informes que va entregar a les parts.
L'Ajuntament ha comès dues infraccions: 1. Va suprimir 3 correus electrònics que formaven part de l'objecte del dret d'accés de la sol·licitant i va informar-la que no disposaven de més correus electrònics, quan no era així; 2. Va obstaculitzar les tasques inspectores de l'Autoritat, en no facilitar la informació sol·licitada.
El reclamant va exercir el dret de supressió de les seves dades personals, en concret dels missatges electrònics i elements adjunts que havia enviat a una adreça electrònica del domini de l'entitat reclamada. L'entitat no ha justificat haver respost el reclamant, per la qual cosa s'estima la reclamació i es requereix l'entitat perquè faci efectiu el dret de supressió o bé indiqui al reclamant els motius pels quals li desestima, i després ho justifiqui davant l'Autoritat.